🕵️ Mozilla Firefox bis 50 Skia Pufferüberlauf
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Eine kritische Schwachstelle wurde in Mozilla Firefox bis 50, ein Webbrowser, ausgemacht. Dies betrifft eine unbekannte Funktion der Komponente Skia. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 24.01.2017 als MFSA 2017-01 in Form eines bestätigten Security Advisories (Website) veröffentlicht. Auf mozilla.org kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2017-5377 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $5k-$25k zu rechnen (Preisberechnung vom 01/26/2017).
Ein Upgrade auf die Version 51 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat entsprechend sofort reagiert.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037693) dokumentiert. Die Einträge 96001, 96003, 96004 und 96005 sind sehr ähnlich.
CVSSv3
Base Score: 6.3Temp Score: 6.0
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C
Zuverlässigkeit: High
CVSSv2
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P)Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C)
Zuverlässigkeit: High
CPE
Exploiting
Klasse: PufferüberlaufLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Firefox 51
Timeline
24.01.2017 Advisory veröffentlicht24.01.2017 Gegenmassnahme veröffentlicht
25.01.2017 SecurityTracker Eintrag erstellt
26.01.2017 VulDB Eintrag erstellt
26.01.2017 VulDB letzte Aktualisierung
Quellen
Advisory: MFSA 2017-01Status: Bestätigt
CVE: CVE-2017-5377 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1037693 - Mozilla Firefox Multiple Bugs Let Remote Users Bypass Security Restrictions, Spoof URLs, Obtain Potentially Sensitive Information, and Execute Arbitrary Code
Siehe auch: 96001, 96003, 96004, 96005, 96006, 96007, 96008, 96009, 96010, 96011, 96012, 96013, 96014, 96015
Eintrag
Erstellt: 26.01.2017Eintrag: 75.6% komplett
...